lt.js会对插入的内容进行转义，避免了XSS攻击

为了防止XSS攻击，现代浏览器还有CSP安全策略，防止非安全域的代码执行

尽量不要使用用户的值，填写动态属性的属性值，极容易造成XSS攻击